Langue :
En 2014, une nouvelle attaque ciblant les comptes privilégiés du domaine a été publiée. Cette attaque, dénommée Kerberoast, exploite les mécanismes internes du protocole d'authentification Kerberos. L'objectif de cette attaque est de découvrir le mot de passe en clair d'un compte et d'obtenir ainsi les droits associés.
Cette attaque peut être réalisée depuis l'intérieur d'un environnement Active Directory à l'aide d'un simple compte non privilégié. Dans le cas où un attribut Active Directory spécifique (le servicePrincipalName
) est défini sur un compte, la sécurité sous-jacente de ce compte est affectée. Cette attaque repose sur le fait que le mot de passe de ce compte peut être découvert, or les mécanismes de sécurité traditionnels qui verrouillent un compte après plusieurs échecs d'authentification successifs ne permettent pas de se prémunir contre des attaques exhaustives sur les mots de passe.
Les comptes très privilégiés sont généralement ciblés comme les membres du groupe des Admins du domaine
. Le contrôle de ces comptes peut mener rapidement à une compromission totale du domaine. C'est pourquoi ils doivent être protégés contre cette menace relative à la configuration Kerberos.
L'indicateur d'attaque Kerberoasting peut alerter le personnel de sécurité dans le cas où un attaquant tenterait d'exploiter cette vulnérabilité. Toutefois, cela n'exclut pas la correction de ce problème sous-jacent afin de sécuriser les comptes très privilégiés, car le contrôle de ces derniers peut mener rapidement à une compromission totale du domaine.
Les comptes privilégiés ne devraient pas posséder de Service Principal Name.
MITRE ATT&CK - Steal or Forge Kerberos Tickets: Kerberoasting
Secrets d'authentification épisode II - Kerberos contre-attaque
Kerberos: An Authentication Service for Computer Networks
Sneaky Persistence Active Directory Trick: Dropping SPNs on Admin Accounts for Later Kerberoasting